saas としての idm の役割
TRANSCRIPT
![Page 1: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/1.jpg)
1
Microsoft Architect Forum 2013
SaaS としての IdM の役割~マイクロソフトの IdMaaS 構想
日本マイクロソフト株式会社エバンジェリスト
安納順一http://blogs.technet.com/junichia/
Facebook :Junichi Anno
![Page 2: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/2.jpg)
Windows Azure
Active Directory
Microsoft全製品
Microsoft全 OS
Windows 8
Microsoft Account
(Windows Live ID)
Consumer Enterprise
Metadata
Syn
c
Sync
他社 IdP
HR
Syn
cWindows Server
Active Directory
![Page 3: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/3.jpg)
3
Identity Technology の課題
• ROI(投資収益率) が見えずらい• アーキテクチャが複雑でエンジニアがいない• 導入コストと管理コストが結構大きい• “変化”が外部に与える影響が大きい
ldap
Kerberosnis Nis+
Active Directory
マルチマスター
Service for UNIX
統合認証
同期メタディレクトリ
ACL
ACE
ACE
2要素認証
証明書
IRM
ICカード
SSO
クレーム認証
フェデレーション
SAML
OpenID
OpenID ConnectWS-Trust
WS-Federation
CHAP802.1x
radius
OAuthNDS
Forefront Identity Manager
SCIM
信頼関係信頼関係
ACS IdM
パスワード
認可
セキュリティトークン
アサーション
PIN
OTP
NTLM
SMB
ADSI
Provisioning
![Page 4: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/4.jpg)
4
Agenda & Takeaway
2000 年以降、ID 管理(IdM)の手法に”大きな変化”はありませんでした。しかしパブリッククラウドの登場により、あらゆる面で“大きな変化”を強いられようとしています。それには ID 管理基盤自身のみならず、アプリケーション側の変革も含まれています。
本セッションでは、
• IdM に求められる役割の変化• ドメインベース管理では対応が難しいこと• Enterprise なパブリッククラウドにおける IdM as a Service の重要性
を通して、パブリッククラウドへの移行初期から完成期に向けた IdM のあり方についてお話します。
![Page 5: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/5.jpg)
5
3rd Party Services
Apps in Azure
Windows Azure Active Directory ~2013年4月リリース
Access Control
Directory
Graph API
Auth. Library
Windows ServerActive DirectoryorShibbolethorPingFederate
Windows Azure
Active Directory
Sync
連携
IdM as a Service• マルチテナント• 認証 HUB(トークンゲートウェイ)• ID ストア
• REST API
LIVE
External IdP
![Page 6: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/6.jpg)
6
Windows Azure Active Directory
Windows Server Active Directory
(on premise / on Azure IaaS)
definitely not !
![Page 7: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/7.jpg)
7
CoreIO(Core Infrastructure Optimization)• ID を中心に、すべてのリソースを結合• End to End のセキュリティポリシー• IdM により関係性が管理されている
Network
Data Services
Devices
IdM
Digital Identity
IdMの役割• Digital Identityの Provisioning
• Create
• Retrieve(Read)
• Update
• Delete
• 最新状態の維持
IdMの目的• ただしく認証、ただしく認可• 適切なアクセス権管理• リソースの保護• セキュリティポリシーの管理
Users, Devices, Services
Groups
Attributes
![Page 8: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/8.jpg)
8
従来の ID 管理~ Domain-based Identity Management
ドメイン境界(Firewall)
• ドメイン境界内の保護• ID による企業統制• セキュリティポリシーの集中管理
Active Directory ドメイン
![Page 9: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/9.jpg)
9
IdP の乱立問題をどう回避したのか?
回避は........できませんでした...
そのかわり...こんな方法で対応してきました
同期
Metadata
業務 業務業務
統合認証
業務 業務
認証サーバー
![Page 10: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/10.jpg)
10
組織間、企業間連携のニーズサービス(Service Provider: SP)には、認証と認可がつきもの
Active Directory ドメイン
• ドメインの異なる組織、企業間でサービス連携を行いたい• Active Directory 以外のドメインとの連携
Active Directory ドメイン
連携
![Page 11: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/11.jpg)
11
パブリッククラウド連携へのニーズ
サービス(Service Provider: SP)には、認証と認可がつきもの
Active Directory ドメイン
• 企業向け SaaS(Office 365, GAE, Saleceforce など)• SNS との連携
Web Service
Web Service
Web Service
Web
Service
Web
Service
Web Service
Web
Service
Salesforce.com
Google.com
office365
Facebook.com Outlook.com
![Page 12: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/12.jpg)
12
新たな課題
IdP(Identity Provider)として• 企業ドメインの ”境界” を超えたリソース利用• パブリッククラウド上での Identity 管理
SP(RP)として• 複数企業の受け入れ方法(コードを書き換える!?)• テナントごとのアクセス管理• 受け入れ企業の Digital Identity 管理、保守
• 「パスワード管理なんてやってられっか!」
![Page 13: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/13.jpg)
13
Identity Federation Model
IdP(CP) SP(RP)
• ドメインベースモデルの大いなる拡張!• ドメイン外サービスとの連携• 認証と認可の分離(IDとリソースが同一ドメイン内でなくてもよい)
WHO AM I?
PROVES WHO SHE IS
CLAIMS
認証 認可同一人物
![Page 14: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/14.jpg)
14
クレーム ベースの認証と認可
IdP(認証) SP(認可)
クレーム ベース の認証と認可
IdP :ユーザー認証、デバイス認証を行いトークン(アサーション)を発行
SP :トークンから本人を識別し、ロールを決定してアクセスを認可する
業務トークン トークン
ユーザー情報
利用者
ロール管理簿
トークンを解析• 本人識別• ロール決定
信頼
クレームを格納
プロトコルが存在する
属性ストア
![Page 15: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/15.jpg)
15
Token
アクセス権はロールによって決定される
SP(認可)
業務 ロール管理簿
トークンを解析• 本人識別• ロール決定
IdP(認証)
ユーザー情報
属性ストア
• ロールを決定するための「クレーム」は SP が提示する• アプリケーションには「ロール」決定のためのロジックを実装
Claims
name
company
title
署名
値
値
値
値
提示
![Page 16: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/16.jpg)
アイデンティティフェデレーションのメリット• ドメイン(Firewall)を超えたリソースの利用• 以下の2要素が一致しており、相互に信頼関係が成立していれば連携が可能
• プロトコル(SAML 2.0、WS-Federation、WS-Trust)& プロファイル• トークン(アサーション)のフォーマット(SAML 1.1、SAML 2.0)
• IdP の違い(認証方式の違い)がアプリケーションに影響しない
A 社 IdP
B 社 IdP
C 社 IdP
ロール管理簿
Security Token Service(STS)
SP側は STSに IdPを登録。STS が IdPの違いを吸収する。必要なクレームは SP側が IdPに提示する。
CRM
![Page 17: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/17.jpg)
トークンのやり取り
Active Directory ドメイン
業務サービス
クラウド上の業務サービス
クラウド上の業務サービス
Domain-Based Identity Management モデルの延長でしかない
![Page 18: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/18.jpg)
IdM as a Service
Network
Data Services
Devices
IdM
Digital Identity
CoreIO
![Page 19: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/19.jpg)
19
3rd Party Services
Apps in Azure
Windows Azure Active Directory
Access Control
Directory
Graph API
Auth. Library
Windows ServerActive DirectoryorShibbolethorPingFederate
Windows Azure
Active Directory
Sync
連携
IdM as a Service• マルチテナント• 認証 HUB(トークンゲートウェイ)• ID ストア
• REST API
LIVE
External IdP
![Page 20: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/20.jpg)
20
WAAD ー Directory Service
• ユーザー情報の格納庫• ユーザー認証• トークン発行
Directory Service
ID Store
Federation
Gateway(STS)
Graph
(REST API)アカウント情報へのアクセス• ユーザー• グループ• デバイス Application
Web Service
SAML2.0
WS-Fed
• Windows Server Active Directory• Shibboleth• PingFederate
SAML 2.0(限定的サポート)WS-Fed
IdP
STS
OAuth 2.0
![Page 21: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/21.jpg)
21
マルチテナント対応アプリケーションの実現
http://msdn.microsoft.com/en-us/library/windowsazure/dn151789.aspx
![Page 22: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/22.jpg)
22
• Windows Azure Active Directory の追加認証要素として実装• サービスプロバイダーから透過的
• 携帯電話(スマートフォン)を使用することで認証チャネルを分離• 現時点では WAAD で認証を行うユーザーにのみ適用可能
• ブラウザ利用のみ SP
WAAD ー Directory Service 2要素認証(プレビュー)
Directory Service
Application
Web Service
PhoneFactor
IE ID/Password
Token
Access
Token
#
![Page 23: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/23.jpg)
23
WAAD- Access Control Service
• 外部 IdP から SP に対するトークンゲートウェイ• オンプレミス Active Directory との ID フェデレーション
ApplicationDirectory
Service
WAAD
Access Control Service
WS-Fed
OpenID Oauh 2.0
IdP
STS
STS
WS-Fedトークン変換
OAuth
Wrap
Application
SP
IdP
WS-Fed をサポートしている IdP
![Page 24: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/24.jpg)
24
![Page 25: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/25.jpg)
25
Graph API
• API 認可(OAuth 2.0)による情報保護
• RESTful Graph API を使用した Directory へのアクセス
• JSON/XML で応答を受信
• API エコノミーを支えるアセット
Graph API EndpointLOB
Request w/ JWT
Windows Azure
Active Directory
OAuth 2.0 EndpointToken Request
Response
JWT
Check
対称キーや証明書を共有
![Page 26: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/26.jpg)
26
Top-Level Resources Query Results URI (for contoso.com)
Top-level resources
Returns URI list of the top-level
resources for directory
services (also listed below)
https://graph.windows.net/contoso.com/
Company information Returns company informationhttps://graph.windows.net/contoso.com/Tenant
Details
Contacts Returns contact informationhttps://graph.windows.net/contoso.com/Contac
ts
Users Returns user information https://graph.windows.net/contoso.com/Users
Groups Returns group data https://graph.windows.net/contoso.com/Groups
Roles
Returns all roles that have
users or groups assigned to
them
https://graph.windows.net/contoso.com/Roles
![Page 27: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/27.jpg)
27
まとめ
IdMaaS は
• 企業ドメインの枠を超えて、あらゆる Digital Identity と あらゆる Service を結び付け、パブリッククラウド上の様々なサービス(API)とともに “API エコノミー” を構成します
• 将来、企業のソーシャルグラフとなり、Enterprise SocialNetwork を実現します
![Page 28: SaaS としての IDM の役割](https://reader034.vdocuments.site/reader034/viewer/2022050805/5578190ed8b42ab40c8b4be7/html5/thumbnails/28.jpg)
28
まとめ
業務システム
Employees
Customers
Partners IdMaaS
Enterprise Social Network
IdMaaSは企業組織のソーシャルグラフである
顧客サービス
IdM
Digital Identity